KRA – Általános ismertető v4.01
M4
KRA 6. változat
Tájékoztató a KRA WEB interfészen keresztüli használatához szükséges futtatókörnyezet beállításáról
Feltételezzük, hogy a felhasználó az elektronikus aláírással és az elektronikus aláírás létrehozásához szükséges tanúsítványokkal kapcsolatban alapismeretekkel rendelkezik. A KRA használatának előfeltétele, hogy a felhasználó hozzáfér az NMHH-tól kapott hozzáférési (autentikációs vagy SSL) tanúsítványához és a magyarországi hitelesítés szolgáltatótól vásárolt aláíró tanúsítványát számítógépére letöltötte, illetve kártyaolvasón keresztül eléri, és a használatához szükséges jelszót is ismeri. Erről bővebben az M3. Mellékletben írtunk. A számhordozási rendszer oldalait biztonságos (tanúsítvánnyal hitelesített) http kapcsolatokon keresztül (https) lehet elérni.
1. Tanúsítványok ellenőrzése Hitelesítés szolgáltatótól vásárolt aláíró tanúsítványok ellenőrzéséhez a szolgáltató tanúsítványtárából lehet letölteni a megfelelő legfelső szintű és közbenső szintű tanúsítványokat. A KRA is ezen tanúsítványokkal ellenőrzi a felhasználók aláíró tanúsítványait. A KRA-ban csak a KRA-ban regisztrált kiadóktól származó tanúsítványok használhatóak. A KRAban regisztrált legfelső szintű és közbenső szintű hitelesítés szolgáltatói tanúsítványok listája megtekinthető a KRA vagy a teszt rendszer súgójában: Súgó > Tanúsítványtár > Kiadói tanúsítványok > Hitelesítés szolgáltatói tanúsítványok A KRA felhasználó gépére további tanúsítványok telepítése ajánlott, melyekre a többi említett tanúsítvány hitelességének ellenőrzéséhez, a következőkben szereplő, elektronikus aláírással hitelesített Java kisalkalmazás telepítéséhez, továbbá a számhordozási rendszerek által kibocsátott listák és üzenetek aláírásának ellenőrzéséhez lehet szükség. Ezek az ellenőrzési célú tanúsítványok telepíthetők a KRA vagy a teszt rendszer súgójából: Súgó > Tanúsítványtár > Kiadói tanúsítványok, vagy az alábbi helyek bármelyikéről közvetlenül: https://kra-test.nmhh.hu/lists/archivum/kiadoi_tanusitvanytar https://kra.nmhh.hu/lists/archivum/kiadoi_tanusitvanytar A letöltésekhez KRA vagy teszt rendszer hozzáférési jogosultság szükséges. Javasoljuk az itt található összes tanúsítvány telepítését a hasonló nevű régiek esetleges törlésével együtt. A KRA futtatható MS Internet Explorer 6+ vagy Mozilla Firefox 3+ böngésző alatt, azonban a tanúsítványok letöltésének további lépései a két programban fogalmilag hasonlóak, de a konkrét lépések tekintetében gyakran különbözőek. 1.1.
Tanúsítványok telepítése az MS Internet Explorer böngészőbe
A tanúsítványok közvetlenül telepíthetők a MS Internet Explorer tanúsítványtárába: Tanúsítvány kiválasztása > Open (Megnyitás) > Install Certificate (Tanúsítvány telepítése)…majd kövessük a Certificate Import Wizard(Tanúsítvány Importálás Varázsló) utasításait, a lépések során válasszuk a Tárolóhely automatikus kiválasztásával (Automatically select the certificate store based on the type of certificate) lehetőséget. Úgy is eljárhatunk, hogy a tanúsítványokat először letöltjük egy mappába, és ezt követően importáljuk azokat a böngésző tanúsítványtárába: MS Internet Explorer > Tools(Eszközök) > Internet Options(Internet beállítások)... > Content(Tartalom) > Certificates(Tanúsítványok) > Import…(Importálás) majd kövessük a Nemzeti Média- és Hírközlési Hatóság – 2012.09.24.
1/5
KRA – Általános ismertető v4.01
KRA 6. változat
Certificate Import Wizard(Tanúsítvány Importálás Varázsló) utasításait, a lépések során válasszuk a Tárolóhely automatikus kiválasztásával (Automatically select the certificate store based on the type of certificate) lehetőséget. 1.2.
Tanúsítványok telepítése a Mozilla Firefox böngészőbe
A tanúsítványokat először le kell tölteni egy mappába: Tanúsítvány kiválasztása jobb egérkattintással > Hivatkozás mentése más néven…Mappa kiválasztása > Mentés Minden letöltött tanúsítványra hajtsuk végre: Mozilla Firefox > Eszközök > Beállítások… > Titkosítás > Tanúsítványkezelő > Kiszolgálók (Hitelesítésszolgáltatók) lap > Importálás.
2. Java futtatókörnyezet telepítése 2.1. Windows operációs rendszer Az elektronikus aláírás elvégzését egy kisalkalmazás (Java Applet) segíti. A Java kisalkalmazás működéséhez – mivel Java programozási nyelven került kifejlesztésre –, előzetesen egy Java futtatókörnyezet (Java Runtime Environment - JRE) telepítése szükséges a web böngészőt futtató számítógépre, amennyiben az még nem történt meg más okból. Ellenőrzés Windows operációs rendszer esetén: Start > Beállítások(Settings) > Vezérlőpult(Control Panel) > Java > General > About: Itt megtekinthető a telepített változat sorozat és frissítés száma. Az elvárt érték min 6.21. Amennyiben nem található a felhasználó számítógépén ez a program, akkor ezt az alábbi helyen elérhető megfelelő változatú program futtatásával lehet telepíteni: http://www.oracle.com/technetwork/java/archive-139210.html A fenti oldalon válasszuk ki a megfelelő változatot majd az operációs rendszerünknek megfelelő jre állományt töltsük le illetve futtassuk. A KRA használata során a Java kisalkalmazás a háttérben működik. Ha nem sikerült minden tanúsítványt telepíteni, vagy a böngészőnek különleges biztonsági beállításai vannak, akkor Windows operációs rendszerben egy figyelmeztető ablak jelenhet meg (Warning – Security). Ekkor a Run gombra kattintva engedélyezhetjük a kisalkalmazás futását, esetleg az „Always trust content from this publisher.” lehetőség bejelölésével, azonban ajánlott az előzőekben leírt lépések ellenőrzése és a pontos beállítások elvégzése. A kisalkalmazás futása a következő módon ellenőrizhető: Start > Beállítások(Settings) > Vezérlőpult(Control Panel) > Java > General > View… > Java Cache Viewer (Show: Applications): A felbukkanó táblázatban meg kell jelennie egy vagy két „KRAXmlSigner” sornak (Vendor: IQSYS). A böngésző, illetve a telepített Java futtatókörnyezet változatától függően előfordulhat, hogy a KRAXmlSigner kisalkalmazás egyik összetevője biztonsági figyelmeztetést generál:
A helyes válasz ebben az esetben: „No”! Nemzeti Média- és Hírközlési Hatóság – 2012.09.24.
2/5
KRA – Általános ismertető v4.01
KRA 6. változat
Ha azt szeretnénk, hogy ez a figyelmeztetés többet ne jelenjen meg, akkor a Java Control Panel beállítási lehetőségei között jelöljük meg az „Enable – hide warning and run with protections lehetőséget”! Ezt a következőképpen tehetjük: Start > Beállítások(Settings) > Vezérlőpult(Control Panel) > Java > Advanced > Security > Mixed Code: Itt válasszuk az:
Figyelem! Ez a beállítás minden más Java kisalkalmazás futására is vonatkozik. A beállítással kapcsolatban további tudnivalók találhatóak a http://download.oracle.com/javase/6/docs/technotes/guides/jweb/mixed_code.html oldalon. 2.2. Linux operációs rendszer: Egyes Linux disztribúciók (pl. Ubuntu) alapértelmezetten nem a SUN Java verzióját használják, mely a kisalkalmazás hibás vagy egyáltalán nem működését okozhatja. Ubuntu esetén 10.04 változatnál újabbak esetén a következő lépések segítségével lehet telepíteni a Sun Java futtató környezetet: https://help.ubuntu.com/community/Java#Sun Java
3. Aláíró tanúsítvány konvertálása pfx kiterjesztésű fájlba Amennyiben a felhasználó az aláíró tanúsítványát az azt kiállító hitelesítés szolgáltatótól MS Internet Explorerébe letöltve kapta meg, akkor szükség van azt onnan exportálni, és pfx vagy p12 kiterjesztésű fájlként a felhasználó által elérhető helyen tárolni. Az exportálás menete a következő: MS Internet Explorer > Tools(Eszközök) > Internet Options(Internet beállítások)... > Content(Tartalom) > Certificates(Tanúsítványok) A Személyes(Personal) lapon válasszuk ki az exportálandó tanúsítványt > Exportálás (Export)…, majd kövessük a Tanúsítványexportáló varázsló(Certificate Export Wizard) utasításait, és a lépések során válasszuk a következőket: Személyes kulcs exportálása(Export Private Key) oldalon: Igen, a személyes kulcs exortálásását választom(Yes, export the private key) lehetőséget,
Nemzeti Média- és Hírközlési Hatóság – 2012.09.24.
3/5
KRA – Általános ismertető v4.01
KRA 6. változat
Exportfájlformátum(Export File Format) oldalon: Személyes információcsere – PKCS #12 (*.PFX): (Personal Information Exchange – PKCS #12 (*.PFX)): ; Erős védelem(Enable strong protection), Jelszó(Password) oldalon : adjuk meg a jelszót és megerősítésképpen ismételjük meg a jelszót, amelyet a tanúsítvánnyal való aláíráskor kell majd minden esetben megadni, Exportálandó fájl(File to Export) oldalon: adjuk meg a fájl nevét és azt a helyet, ahol a pfx kiterjesztésű fájlt tárolni kívánjuk, Tanúsítványexportálás – a varázsló befejezése(Completing the Certificate Export Wizard) oldalon: ellenőrizzük a beállításokat, majd Befejezés(Finish), ezt követően A személyes kulcs exportálása(Exporting your private exchange key) oldalon: válasszuk az Igen(OK) lehetőséget, mely után értesítést kapunk a sikeres exportálásról. Megjegyzés: Ha a Személyes kulcs exportálása(Export Private Key) oldalon nem lehet kiválasztani az „Igen, a személyes kulcs exportálásását választom(Yes, export the private key)” lehetőséget, az azt jelentheti, hogy nem közvetlenül az exportálást végző számítógépére került letöltésre a hitelesítés szolgáltatótól a tanúsítvány, vagy arra úgy került telepítésre a tanúsítvány, hogy nem engedélyezték a személyes kulcs exportálását. Ebben az esetben forduljunk segítségért ahhoz a személyhez, aki az aláíró tanúsítványt a számítógépre telepítette.
4. Kártyaolvasóval és kártyával kapcsolatos futtatókörnyezet ellenőrzése és beállítása Amennyiben a felhasználó az aláíró tanúsítványát kártyán vagy más biztonsági eszközön (pl. usb token) tárolja, akkor az ezek működéséhez szükséges fájlokat is telepítenie kellett. Ellenőrizendő, hogy a telepítés során a Windows operációs rendszer C:\WINDOWS\system32 mappájában a kártya típusától függően az alábbi listában szereplő, a kártyának megfelelő dll kiterjesztésű fájl megtalálható-e! Megjelenített név ORGA Micardo
dll MicardoPKCS11.dll
ActivCard Gold
acpkcs.dll
Oberthur
OCSCryptolib_P11.dll
Oberthur AuthentIC
OCSCryptoki.dll
Oberthur ID One
AuCryptoki2-0.dll
Schlumberger Cyberflex
slbck.dll
Rainbow iKey 3000
aetpkss1.dll
Giesecke
htaetfix.dll
Giesecke SmartSign
hthlkfix.dll
Giesecke SmartSign (ht)
htsspk11.dll
Rainbow iKey 2000
dkck201.dll
Rainbow CryptoSwift HSM
iveacryptoki.dll
Aladdin e-Token
eTpkcs11.dll
OpenSmartCard
opensc-pkcs11.dll
Nemzeti Média- és Hírközlési Hatóság – 2012.09.24.
4/5
KRA – Általános ismertető v4.01
KRA 6. változat
Megjelenített név Axalto
dll xltCk.dll
Gemalto Cryptoflex .NET
gtop11dotnet.dll
Gemalto Classic V3 GemP15-1
gclib.dll
Touch&Sign2048
bit4ipki.dll
Ha a kártyaolvasó működik, de a kívánt dll nem található, akkor a dll helye megadható a Java kisalkalmazás részére. Ehhez egy hordozási tranzakció végzése során, az Elküld gombra kattintva, a megjelenő KRA Digitális Aláírás ablakon válasszuk a Beállítások > Kártyaolvasó telepítése lehetőséget, majd adjuk meg a dll helyét. Linux operációs rendszer esetén az alábbi táblázat mutatja az alapértelmezetten támogatott kártyák listáját: Megjelenített név Aladdin e-Token
so libeTPkcs11.so
MacOS esetén a támogatott kártyák: Megjelenített név Aladdin e-Token
dylib libeTPkcs11.dylib
GemP15-1
libgclib.dylib
5. Mozilla Firefox böngésző beállítása A KRA oldal megnyitásához a Mozilla Firefox böngésző újabb változatai esetében szükség lehet a következő beállításra: a) Írjuk be a böngésző címsorába: about:config, majd nyomjuk meg az Enter gombot! b) Olvassuk el a megjelenő figyelmeztetést, és kattintsunk az ígéretet jelentő gombra! c) A megjelenő listában keressük meg a security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref sort, és kattintással állítsuk true-ra!
Nemzeti Média- és Hírközlési Hatóság – 2012.09.24.
5/5